Источник: Proofpoint

Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-то другое действие. Такова статистика из последнего отчёта от компании Proofpoint.

Современные атаки фокусируются не на инфраструктуре, а на конкретных людях. Специалисты даже выделяют особый тип пользователей, представляющих максимальную угрозу для любой организации — так называемые VAP-пользователи (Very Attacked People), по аналогии с VIP-персонами. Хакеры их очень ценят.

В начале октября на Хабре обсуждалась утечка данных из «Сбербанка». Один из сотрудников банка продал информацию о тысячах или миллионах клиентов: ФИО, номер паспорта, номер карты, дата рождения, адрес и т. д.

Сама по себе новость рядовая: такую приватную информацию о клиентах продают сотрудники практически всех российских банков, операторов связи и госкомпаний. Но здесь база попала в открытый доступ, что случается не часто. Сотрудника уже вычислили (и, наверное, наказали). А вот кто подставил информатора и «Сбербанк», запустив информацию в масс-медиа, — отдельная тема.

Но что делать компаниям, как избежать таких утечек? Вероятно, нужно поднять зарплаты персонала (чтобы те не подрабатывали таким способом) и усилить над ними контроль. В «Сбербанке» используют DLP-систему InfoWatch. Тут она не помогла. Есть и другие системы, дополняющие DLP. Например, Microsoft предлагает платформу управления смартфонами сотрудников Intune.

Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.

Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.

Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании. Теоретически, такое может произойти и в России.

Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.

Среда тоже враждебна. 74% организаций разрешают приносить на работу личные устройства и подключать к корпоративной сети. 94% пользователей не могут отличить настоящее письмо от фишингового, 11% нажимали на аттачменты.

Все эти проблемы решает корпоративная инфраструктура открытых ключей (PKI), которая обеспечивает шифрование и аутентификацию почты, а пароли заменяет цифровыми сертификатами. Эту инфраструктуру можно поднять на Windows Server. Согласно описанию от Microsoft, служба Active Directory Certificate Services (AD CS) — это сервер, который позволяет создать в вашей организации PKI и использовать криптографию с открытыми ключами, цифровые сертификаты и цифровой подписи.

Но решение от Microsoft достаточно дорогостоящее.

В новых версиях Chrome 77 и Firefox 70 (выйдет 22 октября) EV-сертификаты с расширенной проверкой лишились своего привычного места в адресной строке. Теперь они на первый взгляд не отличаются от обычных DV-сертификатов, которые валидируют домен. Дополнительная информация о компании раскрывается только по нажатию пиктограммы с замочком, но не в адресной строке.


Так выглядит информация о сертификате EV SSL в Firefox 70

Критики индустрии рады, что «торговля воздухом» прекратится. Но сами регистраторы считают, что EV SSL рано хоронить.

Очки Google Glass с нейроинтерфейсом NeuroSky MindWave для ЭЭГ мозга

24 сентября 2019 года стало известно, что Facebook купил разработчика нейроинтерфейсов CTRL-Labs. Очки Google Glass совместимы с ЭЭГ-монитором NeuroSky через open-source приложение MindRDR. 16 июля 2019 года стартап Илона Маска представил революционный нейроинтерфейс Neuralink. Илон Маск заявляет о «реальных трансгуманистических целях в долгосрочной перспективе».

Эти новости указывают, в каком направлении двигается индустрия. В том числе интернет-компании, которые основную прибыль получают от показа таргетированной рекламы с учётом интересов пользователя. Чтобы определить эти интересы, они производят массированный сбор данных, отслеживая действия пользователя в интернете, его профиль и социальный граф, контакты и звонки, физические перемещения, покупки в магазинах, тексты личных сообщений и т. д. Но этого мало.

Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках»

На Хабре неоднократно рассказывали о протоколе DNS-over-HTTPS (DoH), недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.

26 июля 2019 года компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней до 397 дней (около 13 месяцев), то есть примерно вдвое. Google считает, что только полная автоматизация действий с сертификатами позволит избавиться от нынешних проблем с безопасностью, которые часто объясняются человеческим фактором. Поэтому в идеале нужно стремиться к автоматизированной выдаче короткоживущих сертификатов.

Вопрос поставили на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия.

И вот 10 сентября объявлены результаты: члены консорциума проголосовали против предложения.

Цепочка доверия. CC BY-SA 4.0 Yanpas

Инспекция трафика SSL (расшифровка SSL/TLS, анализ SSL или DPI) становится все более горячей темой обсуждения в корпоративном секторе. Идея расшифровки трафика вроде бы противоречит самой концепции криптографии. Однако факт есть факт: всё больше компаний используют технологии DPI, объясняя это необходимостью проверки контента на предмет зловредов, утечек данных и т. д.

Что ж, если принять за факт, что необходимо внедрять такую технологию, то следует хотя бы рассмотреть способы сделать это наиболее безопасным и хорошо управляемым способом. Хотя бы не полагаться на те сертификаты, например, которые вам даёт поставщик системы DPI.

Есть один аспект реализации, о котором не все знают. На самом деле многие действительно удивляются, когда слышат о нём. Это частный центр сертификации (ЦС). Он генерирует сертификаты для дешифровки и повторного шифрования трафика.

Вчера Апелляционный суд 9-го округа США принял решение (pdf), что скрапинг публичных сайтов не противоречит закону CFAA (Computer Fraud and Abuse Act).

Это действительно важное решение. Суд не только легализовал эту практику, но запретил мешать конкурентам снимать информацию с вашего сайта в автоматическом режиме, если сайт является общедоступным. Суд подтвердил понятную логику, что заход бота-скрапера юридически не отличается от захода браузера. В обоих случаях «пользователь» запрашивает открытые данные — и что-то делает с ними на своей стороне.

Сейчас многие владельцы сайтов пытаются поставить технические препоны конкурентам, которые полностью копируют их информацию, не защищённую копирайтом. Например, цены на билеты, товарные лоты, открытые профили пользователей и т. д. Некоторые сайты считают эту информацию «своей», а скрапинг расценивают как «воровство». Юридически это не так, что теперь закреплено официально в США.

Согласно определению в Википедии, тайник (dead drop) — это инструмент конспирации, который служит для обмена информацией или какими-то предметами между людьми, использующими секретное местоположение. Смысл в том, что люди никогда не встречаются — но при этом обмениваются информацией, поддерживая эксплуатационную безопасность.

Тайник не должен привлекать внимание. Поэтому в офлайновом мире часто используют неброские вещи: свободный кирпич в стене, библиотечную книгу или дупло в дереве.

В интернете есть много инструментов для шифрования и анонимизации, но сам факт использования этих инструментов привлекает внимание. Кроме того, они могут быть заблокированы на корпоративном или государственном уровне. Что делать?

22 августа 2019 года директор по разработке браузера Chrome Джастин Шух (Justin Schuh) опубликовал программную статью «Создавая более конфиденциальный веб». В ней:

1. Объявлено об инициативе по разработке ряда открытых стандартов для «фундаментального улучшения конфиденциальности в вебе» — Privacy Sandbox.
   
2. Декларируются принципы Google по отношению к конфиденциальности пользователей. Некоторые из них отличаются от подходов, которые реализуют разработчики Firefox и Safari. Например, Google выдвигает неожиданный аргумент, что блокировка куков вредит конфиденциальности.

По мнению некоторых комментаторов, аргументы Google «смешны и необоснованны», а сама инициатива в каком-то смысле неискренна и даже опасна. Исследователи в области безопасности Джонатан Майер (Jonathan Mayer) и Арвинд Нараянан (Arvind Narayanan) разбирают по пунктам «оправдания Google для отслеживания пользователей».

Программа Surveillance Detection Scout обнаружила знакомого человека и предлагает кадры из архива с его лицом

Правительства многих стран разворачивают системы слежки за населением через сеть видеокамер. Но граждане могут использовать этот инструмент и в своих целях.

Исследователь безопасности Трумэн Кейн (Truman Kain) на хакерской конференции DEF CON представил любопытный мод для автомобиля Tesla под названием Surveillance Detection Scout (слайды презентации, демо). С его помощью автомобиль превращается в настоящую платформу видеонаблюдения на колёсах. Он распознаёт номера машин на дороге и лица людей в реальном времени.

В наше время ни одно устройство с сетевым подключением не защищено от потенциального взлома. Даже фотоаппарат.

На хакерской конференции DEF CON 2019 Эяль Иткин из Check Point Software Technologies показал первый в мире действующий эксплоит для протокола PTP (Picture Transfer Protocol). Многие современные DSLR поддерживают передачу файлов по WiFi. В данном случае описана зловредная точка доступа WiFi, к которой автоматически подключаются окружающие камеры.

Экплоит работает и при физическом подключении камеры к компьютеру по PTP/USB. В обоих случаях злоумышленник может установить соединение с камерой и загрузить на неё исполняемый код. Например, для шифрования всех изображений на карте.

В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.

Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.

Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.

Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ

Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.

Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.

30 июля компания Google выпустила Chrome 76 с улучшенным режимом инкогнито. Теперь браузер обходит «пейволы», которые ставят читателям лимит на «несколько статей в месяц», а потом требуют подписку или регистрацию.

Например, The New York Times позволяет читать десять статей в месяц, а Wired — четыре. На долю "metered paywalls" приходится 33% пейволов в онлайновых медиа. Пользователей в режиме «инкогнито» там встречают недружелюбно:



В Chrome 76 обход пейволла упростился до предела: достаточно нажать на ссылку правой кнопкой мыши и выбрать «Открыть ссылку в окне в режиме инкогнито». Теперь браузер не распознает, что вы находитесь в «приватном режиме». Счётчик прочитанных статей в «инкогнито» не работает из-за отсутствия куков.

Несколько дней назад компания GlobalSign открыла портал для разработчиков IoT Developer Portal. Здесь можно бесплатно зарегистрироваться (только по корпоративным адресам), выбрать API для интеграции, бесплатно получить сертификаты X.509 и протестировать свою систему идентификации IoT. Пока что GlobalSign остаётся единственным центром сертификации, который выдаёт сертификаты устройствам в масштабе IoT с идентификатором устройства на основе инфраструктуры открытых ключей (PKI).

Если вкратце сформулировать суть, то новый портал — это централизованная локаль, где предоставляется демонстрационный доступ ко всем инструментам, необходимым для успешной интеграции device identity. Тут руководства по интеграции, инструменты тестирования, спецификации продукта, примеры кода, RESTful API и т.д.

Кому это нужно?

У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки.

Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой гарантии, что оно не начнёт это делать в будущем. Это системная проблема.

Недавно специалисты вскрыли деятельность «аналитической» компании Nacho Analytics, которая предлагает сервис под амбициозным девизом «Режим бога для интернета» (“God mode for the Internet”), отслеживая действия миллионов пользователей через расширения Chrome и Firefox почти в реальном режиме времени (с часовой задержкой).